アップグレードの重要性: 2017 年のランサムウェア拡散時に高い効果を証明した Windows 10 の次世代型セキュリティ

2017年，勒索软件（Ransomware）利用更复杂的威胁攻击手法和技术，造成了前所未有的感染规模和损害。去年肆虐的勒索软件具有以下特征：

• 发生了三次大规模感染。勒索软件的威力对企业网络造成影响，导致医院、运输、交通系统等关键服务功能停止，对现实社会造成冲击
• 受害计算机达300万台。此外，还确认了数百万规模的勒索软件攻击链组成部分，如下载型木马、漏洞利用、邮件、网站等遭遇
• 确认了通过供应链攻击、漏洞利用、钓鱼邮件、利用Office DDE功能的文档等新攻击途径的勒索软件感染
• 除了120多种新型勒索软件外，还检测到无数现有家族和相对次要的勒索软件变种，采用启发式和通用检测。存在利用“勒索软件即服务（ransomware-as-a-service）”扩张的网络犯罪企业

从漏洞利用和其他攻击途径可以看出，恶意软件越来越复杂，旧平台更容易受到勒索软件攻击。Windows 7设备从6月到11月的勒索软件遭遇率比Windows 10设备高出3.4倍。

从这些数据可以看出，攻击者以Windows 7为目标。旧平台容易受到最新威胁的入侵，是因为没有配备Windows 10内置的端到端高级防御堆栈。Windows 10持续进行功能强化，进一步提高对勒索软件等攻击的恢复能力。

Windows 10: 针对勒索软件攻击的多层防御

2017年发生了三次勒索软件大规模感染。其传播和感染手法不一定新颖，但传统勒索软件较少使用。Windows 7也配备了减轻攻击的技术，但Windows 10全面内置了应对这些攻击手法的平台缓解措施和次世代技术。此外，进一步简化安全性和性能的Windows 10 S可以锁定设备，防范勒索软件等威胁。

5月首次造成全球感染的勒索软件是WannaCry（Ransom: Win32/WannaCrypt）。WannaCry利用已发布修复的SMBv1漏洞的EternalBlue漏洞，以勒索软件前所未有的速度在网络中传播。

对于Windows 7，可以通过Windows AppLocker、Microsoft Security Essentials、System Center Endpoint Protection（SCEP）等恶意软件解决方案阻止感染过程。但是，WannaCry利用漏洞传播并感染设备，对包含未修复漏洞的Windows 7设备的网络造成了损害。WannaCry的感染损害再次表明，需要特别注意关键安全补丁，保持平台和软件的最新状态。

Windows 10没有受到WannaCry攻击的损害。Windows 10内置了阻止WannaCry勒索软件及其传播手法的安全技术，除了标准搭载的漏洞缓解措施（KASLR、NX HAL、PAGE POOL）外，还通过kCFG（内核控制流防护）和HVCI（内核代码完整性）保护免受漏洞攻击。

6月，出现了利用与WannaCry相同漏洞，并增加了新传播方法和感染手法的2017年最复杂勒索软件Petya（Ransom: Win32/Petya.B）。Petya首先针对软件供应链进行攻击，利用EternalBlue和EternalRomance等漏洞以及窃取的凭据进行入侵后扩展的模块，迅速扩大了感染。

Windows 7可以通过Windows AppLocker阻止Petya感染设备。所有更新已应用的Windows 7设备不会受到损害。但是，Petya窃取凭据，用于入侵网络后的扩展。一旦Petya在Windows 7设备中运行，除非是最新的防病毒功能应用了零小时保护，否则无法阻止文件加密和主引导记录（MBR）的篡改。

另一方面，Windows 10有多层防御阻止Petya入侵。除了Windows AppLocker，Windows Defender Application Control还可以阻止Petya的入侵途径（执行不受信任二进制文件的非法软件更新工具）以及使用不受信任DLL的传播手法。Windows 10标准的漏洞缓解措施为设备提供进一步强化的保护，防范Petya漏洞利用。Credential Guard阻止从Local Security Authority Subsystem Service（LSASS）窃取凭据，因此可以抑制勒索软件的传播手段。同时，Windows Defender System Guard（安全启动）可以在启动时不加载被Petya篡改的MBR，阻止对主文件表（MFT）的勒索软件损害。

10月，出现了另一种恶意勒索软件Bad Rabbit（Ransom: Win32/Tibbar.A）。Bad Rabbit通过从受侵害的网站下载假的Adobe Flash安装程序进行感染。与WannaCry和Petya一样具有传播功能，但Bad Rabbit使用的是硬编码用户名和密码列表的传统手法。此外，它不仅加密文件，还加密整个磁盘，因此与Petya一样，受感染设备无法启动。

Windows 7设备可以通过多种安全解决方案技术阻止Bad Rabbit的下载和安装，但很难保护设备免受其有效负载的损害，并阻止感染网络上的其他计算机。

对于Windows 10，除了强化的感染途径防御外，还可以通过各种技术阻止或检测利用漏洞和硬编码用户名密码在网络内传播，从而保护企业网络免受Bad Rabbit的严重威胁。

值得注意的是，当Bad Rabbit感染发生时，Windows Defender防病毒软件的云保护服务中使用的基于爆炸的机器学习（ML）模型，在无需人工干预的情况下，从首次遭遇仅14分钟就准确分类了恶意软件。这种基于爆炸的ML模型作为由ML和AI技术组成的层的一部分，评估文件以检测可疑恶意软件。这种分层方法使Windows Defender防病毒软件能够在Bad Rabbit感染后几分钟内保护启用云保护的Windows 10设备。

从以上大规模感染可以看出，勒索软件已进化为非常复杂的威胁，预计2018年以后会进一步复杂化。Windows 10的多层次次世代安全技术旨在阻止当今勒索软件采用的高度专业化恶意软件攻击方法。

Windows 10中的勒索软件对策

对于最终用户来说，没有什么比勒索软件的要求消息更可怕。文件被劫持，文档、珍贵照片和视频等所有重要文件都被加密。Windows 10 Fall Creators Update内置了新功能，即使勒索软件感染了计算机，也能实时阻止对重要文件的访问。启用文件夹访问控制后，可以锁定文件夹，拒绝除允许应用程序外的文件访问。

但是，这仅仅是单层防御。通过Web的勒索软件等威胁可以通过具备漏洞缓解措施和沙箱功能的安全浏览器Microsoft Edge阻止。Microsoft Edge基于Windows Defender SmartScreen评估阻止恶意下载，并通过在低权限应用程序容器中打开页面等方式大幅提高Web安全性。

Windows Defender防病毒软件也不断强化对勒索软件等威胁的防御。利用通用型和启发式高级检测技术以及多层ML模型，可以检测从常见威胁到稀有勒索软件家族的各种威胁。Windows Defender防病毒软件使用通用和启发式检测、本地ML模型、云元数据库的ML模型等，检测和阻止几乎所有恶意软件，包括未知勒索软件。万一突破了这种多层防御，Windows Defender防病毒软件使用基于分析的ML模型实时保护“患者零”。有关详细信息，请参阅在几秒钟内阻止新勒索软件Spora的案例。此外，即使在初始分类难以确定的罕见情况下，通过自动分析和ML模型，也可以像Bad Rabbit感染时一样，在几分钟内保护客户。

Windows 10 S通过仅允许使用Windows Store应用程序，并将默认浏览器设置为Microsoft Edge，锁定设备免受非法内容侵害。在微软认证的简化平台上，可以可靠地封堵勒索软件和其他威胁的入侵点。

减少企业网络中的勒索软件攻击面

对于企业和中小企业来说，勒索软件的影响是严重的。无法访问文件可能导致业务中断。关键基础设施等大企业网络也受到勒索软件损害。现代企业网络始终是攻击者的目标，因此需要防御所有连接点。

Windows Defender Exploit Guard锁定设备应对各种攻击途径。主机入侵防御功能通过以下组件阻止常见恶意软件攻击行为：

• 攻击面减少（ASR）：阻止常见勒索软件入侵点（从Office、脚本、邮件下载和安装勒索软件的威胁）。还应对用于分发勒索软件的最新漏洞，如DDEDownloader
• 网络保护：Windows Defender SmartScreen阻止下载型木马从恶意服务器获取勒索软件有效负载等对不可信主机的出站连接
• 文件夹访问控制：阻止勒索软件和不可信进程访问受保护文件夹或加密文件夹内的文件
• 漏洞保护（旧EMET）：提供针对当前勒索软件制作者使用的各种漏洞手法的缓解措施

此外，使用内置垃圾邮件过滤功能的Microsoft Exchange Online Protection（EOP）保护Office 365用户免受通过邮件的勒索软件攻击。Office 365 Advanced Threat Protection（ATP）利用点击时保护（Time-of-Click Protection）阻止可疑附件、恶意链接、文件链接等，安全保护邮箱免受邮件攻击。

此外，行业领先的Microsoft Edge浏览器安全性通过Windows Defender Application Guard增强，在Windows应用程序中实现Azure云级别的隔离和安全分段。这种硬件隔离级别提供对零日攻击、未应对漏洞、基于Web的恶意软件的最高水平保护。

企业级集成安全

Windows Defender ATP使安全运营人员能够及时检测网络内的勒索软件活动，阻止勒索软件传播。Windows Defender ATP的高级行为分析和基于ML的检测库在检测到勒索软件攻击链中的恶意行为时发出警报，使安全运营人员能够快速调查攻击内容并做出响应。

Windows 10 Fall Creators Update中，Windows Defender ATP得到增强，Windows Defender Exploit Guard、Windows Defender Application Guard、Windows Defender防病毒软件等Windows保护堆栈无缝协作，实现单一屏幕的安全管理。

利用本次介绍的所有安全技术，微软将Windows 10进化为有史以来最安全的Windows。威胁形势预计在2018年以后继续进化，但我们将不停歇安全解决方案的创新和投资，持续强化Windows 10。微软提供新保护功能阻止攻击的想法，设定了功能更新发布周期为每年两次。通过升级到Windows 10，不仅可以减轻风险，还可以利用高级多层次防御功能阻止勒索软件等最新攻击。

Tanmay Ganacharya (@tanmayg) Windows Defender Research，首席组经理